Facebook JS SDK e rischi per la privacy

I social login button sono molto diffusi nei siti Internet, questo perché permettono all'utente di accedere ad un servizio senza dover creare un nuovo account manualmente. Tuttavia tali sistemi sono spesso finiti sotto la lente degli utenti più sensibili alla propria privacy in Rete.

A tal proposito in questo articolo vogliamo portarvi l'esperienza di Son Nguyen Kimm, fondatore di SimpleLogin, che in un recente intervento sul blog dell'azienda ha esaminato il comportamento dei social login button:

Dietro le quinte alcuni SDK (sto guardando te Facebook!) iniettano un iframe nel tuo portale per poter visualizzare il pulsante del login con le credenziali del social.

Il caricamento di questo elemento consente a Facebook di sapere quando uno specifico utente sta visitando il tuo sito. In pratica Facebook conosce le abitudini di navigazione dell'utente senza il suo consenso esplicito.

Per Son Nguyen Kimm la compagnia guidata da Mark Zuckerberg starebbe deliberatamente violando la privacy di milioni di persone. I social login button sono infatti presenti su quasi tutti i siti Web, quindi Facebook, o qualsiasi altro social network, potenzialmente potrebbe avere accesso alla cronologia di navigazione degli utenti che li frequentano.

Lo sviluppatore mostra anche diversi screenshot d'esempio:

Gli iframe di Facebook, come ad esempio i pulsanti "Mi piace" o "Condividi", verrebbero inclusi nelle pagine Internet tramite uno sript caricato dalla pagina connect.facebook.net/en_US/sdk.js.

Secondo Son Nguyen Kimm fa parte del lavoro di ogni sviluppatore proteggere la privacy degli utenti. Quindi invece di utilizzare direttamente gli script offerti da Facebook sarebbe meglio implementare il meccanismo di social login sfruttando risorse alternative, come Python Social Auth o PassportJS, che usano il medesimo protocollo adottato dalla società di Menlo Park, ovvero OAuth2/OpenID.

Via Son Nguyen Kimm